cPanel lanzó el 8 de mayo de 2026 un segundo parche de seguridad de emergencia en apenas diez días, corrigiendo tres nuevas vulnerabilidades: CVE-2026-29201, CVE-2026-29202 y CVE-2026-29203. Dos de ellas tienen puntuación CVSS de 8.8, catalogadas como Alta severidad. La primera permite lectura arbitraria de archivos con CVSS 4.3. La segunda posibilita la ejecución de código Perl arbitrario, permitiendo a un atacante autenticado ejecutar comandos en el servidor. La tercera facilita la escalada de privilegios mediante symlinks inseguros, pudiendo encadenarse con la segunda para obtener acceso profundo al sistema. Estas correcciones llegan tras el masivo ataque de ransomware del 28 de abril, cuando 44.000 servidores con cPanel fueron comprometidos mediante la vulnerabilidad CVE-2026-41940 (CVSS 9.8), explotada como zero-day durante aproximadamente dos meses. Los expertos señalan que la concentración de divulgaciones no es casual: la investigación de seguridad asistida por inteligencia artificial está descubriendo vulnerabilidades a un ritmo acelerado, reduciendo la ventana entre el descubrimiento y la explotación activa. Se recomienda aplicar inmediatamente el parche mediante /scripts/upcp, reiniciar cpsrvd y verificar la versión actualizada.
cPanel corrige tres vulnerabilidades críticas en menos de diez días
